二���、入侵檢測(cè)
(一)���、入侵檢測(cè)概述
入侵檢測(cè)(Intrusi0n Detection),顧名思義�,就是對(duì)入侵行為的發(fā)覺(jué)。他通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析���。從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象�。
入侵檢測(cè)可以作為防火墻后的第二道防護(hù)措施�����,通過(guò)對(duì)網(wǎng)絡(luò)狀況的實(shí)時(shí)監(jiān)聽(tīng)����,從而能夠與對(duì)于內(nèi)部攻擊,誤操作��,外部攻擊等進(jìn)行防護(hù)���,從而大大提高網(wǎng)絡(luò)的安全性���。具有監(jiān)視分析用戶(hù)和系統(tǒng)的行為��、審計(jì)系統(tǒng)配置和漏洞�����、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性��、識(shí)別攻擊行為���、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁���、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為��、使用誘騙服務(wù)器記錄黑客行為等功能,在不影響網(wǎng)絡(luò)性能的前提下���,使系統(tǒng)管理員可以較有效地監(jiān)視�����、審計(jì)�、評(píng)估自己的系統(tǒng)。
入侵檢測(cè)的實(shí)現(xiàn)方法有如下幾種:
1.基于日志和審計(jì)數(shù)據(jù)的入侵檢測(cè)
針對(duì)單一的主機(jī)��,可以使用對(duì)于主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的運(yùn)行日志來(lái)發(fā)現(xiàn)攻擊的發(fā)生�����。檢測(cè)系統(tǒng)一般建立于待檢測(cè)的主機(jī)上�����,這種檢測(cè)方式必須保證審計(jì)數(shù)據(jù)和運(yùn)行日志是安全并且可靠的���。并且更加攻擊方式和審計(jì)數(shù)據(jù)和日志的組織方式定義規(guī)則�����。
由于日志是系統(tǒng)運(yùn)行時(shí)自動(dòng)產(chǎn)生以紀(jì)錄系統(tǒng)運(yùn)行狀態(tài)的文檔��,因此系統(tǒng)管理員往往可以通過(guò)分析日志得出系統(tǒng)發(fā)生了什么�����。然而在系統(tǒng)的高速運(yùn)行下����,日志的紀(jì)錄數(shù)目屬于高速增長(zhǎng)中,海量的日志紀(jì)錄使得管理員無(wú)法有效的分析日志�,而標(biāo)準(zhǔn)的日志功能并不能自動(dòng)檢查過(guò)濾日志以提供給管理員需要的信息。而基于審計(jì)數(shù)據(jù)和日志的入侵檢測(cè)系統(tǒng)則可以自動(dòng)分析即時(shí)增長(zhǎng)的數(shù)據(jù)并提供給管理員分析的結(jié)果���,通過(guò)系統(tǒng)自動(dòng)處理或者管理員手動(dòng)處理以阻止非法攻擊��。
這種方式的弱點(diǎn)也是顯而易見(jiàn)的�。
1)攻擊者可以試圖獲取到更高的權(quán)限來(lái)控制改變審計(jì)數(shù)據(jù)和運(yùn)行日志
2)不能通過(guò)檢測(cè)審計(jì)數(shù)據(jù)和運(yùn)行日志得出網(wǎng)絡(luò)欺騙攻擊����。
因此我們認(rèn)為基于日志的入侵檢測(cè)不是一個(gè)安全系數(shù)高的自動(dòng)防御方案,其適用于一般的服務(wù)器安全防護(hù)以及作為服務(wù)器管理員分析服務(wù)器運(yùn)行情況的補(bǔ)充�。
2.基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽(tīng)的入侵檢測(cè)
這種人侵檢測(cè)是指分布于網(wǎng)絡(luò)線(xiàn)路上,被動(dòng)的無(wú)聲息的接受其所需要的報(bào)文����,對(duì)所收集來(lái)的報(bào)文,入侵檢測(cè)系統(tǒng)根據(jù)提取的特征值和對(duì)應(yīng)的規(guī)則庫(kù)�����,根據(jù)智能匹配方法判斷報(bào)文是否反映了某種入侵行為�,然后決定是否進(jìn)行報(bào)警或者適當(dāng)?shù)姆佬l(wèi)或者反擊。
由于入侵檢測(cè)系統(tǒng)需要分布在網(wǎng)絡(luò)環(huán)境中進(jìn)行監(jiān)聽(tīng)����,因此可以有兩種方式接入到被保護(hù)的網(wǎng)絡(luò)中。
1)將入侵檢測(cè)系統(tǒng)分布配置在網(wǎng)絡(luò)中的每一個(gè)單機(jī)節(jié)點(diǎn)中��,通過(guò)檢測(cè)每個(gè)單機(jī)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流���。并進(jìn)行匯總判斷以檢測(cè)整個(gè)網(wǎng)絡(luò)上的異�����,F(xiàn)象�����。
2)以分布式檢測(cè)網(wǎng)絡(luò)的形式將各入侵檢測(cè)系統(tǒng)分布式布設(shè)在受保護(hù)網(wǎng)絡(luò)的各被保護(hù)網(wǎng)段的網(wǎng)關(guān)處���,通過(guò)對(duì)網(wǎng)關(guān)數(shù)據(jù)報(bào)的分析得出整個(gè)網(wǎng)絡(luò)的狀況。用于檢測(cè)整個(gè)單一網(wǎng)絡(luò)上的異���,F(xiàn)象��。
通過(guò)對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)以檢測(cè)攻擊�����,這種方式的核心就在于數(shù)據(jù)包的截獲和分析���。入侵檢測(cè)系統(tǒng)通過(guò)截取網(wǎng)絡(luò)流中的數(shù)據(jù)包���,得到網(wǎng)絡(luò)中系統(tǒng)的運(yùn)行信息�,用戶(hù)信息���,和操作信息等等。然后根據(jù)設(shè)定好的規(guī)則進(jìn)行分析���。但是基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽(tīng)的入侵檢測(cè)都面臨著一個(gè)問(wèn)題���。由于數(shù)據(jù)包需要經(jīng)過(guò)入侵檢測(cè)系統(tǒng)的過(guò)濾,因此入侵檢測(cè)系統(tǒng)的效率直接對(duì)網(wǎng)絡(luò)產(chǎn)生影響 特別是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,現(xiàn)在網(wǎng)絡(luò)中的通行流量已經(jīng)越來(lái)越大��。入侵檢測(cè)系統(tǒng)必須有效率的處理1000M 甚至更大的數(shù)據(jù)流并且不會(huì)對(duì)網(wǎng)絡(luò)通信造成明顯影響�����。
(二)��、基于大流量網(wǎng)絡(luò)的入侵檢測(cè)方案
經(jīng)過(guò)調(diào)查���。在網(wǎng)絡(luò)運(yùn)行中網(wǎng)絡(luò)數(shù)據(jù)流往往是波動(dòng)的�����,在一個(gè)較長(zhǎng)的時(shí)間段內(nèi)����,數(shù)據(jù)量的大小是變化的,網(wǎng)絡(luò)中不會(huì)時(shí)時(shí)刻刻都存在大數(shù)據(jù)量的流動(dòng)����。而由于網(wǎng)絡(luò)通信往往是基于交互的,通信的雙方一般都要經(jīng)歷一次的發(fā)送接收的過(guò)程���,因此本文基于以上現(xiàn)狀提出一種延遲異步的數(shù)據(jù)量處理方案以緩解大數(shù)據(jù)流對(duì)于入侵檢測(cè)系統(tǒng)的壓力。
1.對(duì)于第一次通過(guò)數(shù)據(jù)檢查系統(tǒng)的數(shù)據(jù)包����,入侵檢測(cè)系統(tǒng)為這個(gè)數(shù)據(jù)包標(biāo)記上ID并記錄,然后無(wú)論這個(gè)數(shù)據(jù)包是否經(jīng)過(guò)分析都直接轉(zhuǎn)發(fā)至目標(biāo)計(jì)算機(jī)上�。
2.入侵檢測(cè)系統(tǒng)按照記錄中的順序分析處理數(shù)據(jù)包后將數(shù)據(jù)包的分析結(jié)果根據(jù)其ID記錄至查詢(xún)系統(tǒng)。
3.目標(biāo)計(jì)算機(jī)接收到并準(zhǔn)備處理帶有標(biāo)記ID的數(shù)據(jù)包時(shí)���,根據(jù)其ID向查詢(xún)系統(tǒng)詢(xún)問(wèn)其安全性。如果查詢(xún)系統(tǒng)返回安全的提示則執(zhí)行這個(gè)數(shù)據(jù)包��,如果查詢(xún)系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng),在得不到查詢(xún)系統(tǒng)答復(fù)未處理時(shí)掛起這個(gè)數(shù)據(jù)包操作這種方案的優(yōu)點(diǎn)如下:
1.不會(huì)在網(wǎng)絡(luò)繁忙時(shí)由于入侵檢測(cè)系統(tǒng)的分析處理而導(dǎo)致網(wǎng)絡(luò)延遲甚至堵塞
2.由于網(wǎng)絡(luò)的流量處于波動(dòng)中���,入侵檢測(cè)系統(tǒng)可以在流量小的時(shí)候處理大流量時(shí)為處理完的信息�。而不會(huì)造成大流量時(shí)不堪重負(fù)�。小流量時(shí)空閑的情況。提高了系統(tǒng)的效率��。
3.由于網(wǎng)絡(luò)通信的延遲和每個(gè)節(jié)點(diǎn)對(duì)于數(shù)據(jù)處理順序存在調(diào)度機(jī)制��。數(shù)據(jù)不一定會(huì)在節(jié)點(diǎn)接收到的時(shí)候就被馬上處理����,因此當(dāng)節(jié)點(diǎn)提交查詢(xún)的時(shí)候,這個(gè)數(shù)據(jù)包往往是已經(jīng)分析完畢的����,因此這種方式對(duì)于節(jié)點(diǎn)的數(shù)據(jù)處理影響是比較小的。
結(jié)合虛擬化技術(shù)的入侵檢測(cè)系統(tǒng)
由于虛擬化技術(shù)模擬了程序的運(yùn)行環(huán)境����,因此完全可以把每個(gè)虛擬環(huán)境看成網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)����。
(三)、結(jié)合虛擬化的入侵檢測(cè)方案
結(jié)合虛擬化可以改進(jìn)之前提出的延遲異步方案如下:
其1.2步相同
3.虛擬環(huán)境中的程序向查詢(xún)系統(tǒng)提交查詢(xún)����,如果查詢(xún)系統(tǒng)返回安全的提示則執(zhí)行這個(gè)數(shù)據(jù)包,如果查詢(xún)系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng)��,如果查詢(xún)系統(tǒng)答復(fù)未處理則不等待直接執(zhí)行這個(gè)數(shù)據(jù)包,并回饋給入侵檢測(cè)系統(tǒng)這個(gè)ID數(shù)據(jù)包執(zhí)行時(shí)間���。
4.數(shù)據(jù)包的執(zhí)行結(jié)果如果有反饋信息則標(biāo)上和執(zhí)行數(shù)據(jù)包同樣的ID發(fā)給入侵檢測(cè)系統(tǒng),若入侵檢測(cè)系統(tǒng)已分析完畢這個(gè)ID的數(shù)據(jù)包是合法的則通過(guò),否則則截留這個(gè)數(shù)據(jù)包����。如果還未分析則掛起這個(gè)數(shù)據(jù)包等待分析�。
5.若檢測(cè)系統(tǒng)檢測(cè)出某個(gè)非法攻擊數(shù)據(jù)包���。并且這個(gè)數(shù)據(jù)包在X時(shí)已經(jīng)被K虛擬環(huán)境執(zhí)行�,則通知虛擬環(huán)境K回退到X時(shí)�。并提交警告給管理人員�。
結(jié)合虛擬環(huán)境后,虛擬環(huán)境中的程序可以在不等待入侵檢測(cè)系統(tǒng)的數(shù)據(jù)包分析反饋的時(shí)候就預(yù)先執(zhí)行數(shù)據(jù)包�����。如果執(zhí)行的是非法數(shù)據(jù)包則進(jìn)行系統(tǒng)回退��。在日常運(yùn)行中,提高了大流量期間的運(yùn)行效率���。
綜上所述�,我們可以使用虛擬化技術(shù)封閉程序的運(yùn)行環(huán)境,消除程序間的相互影響���。并且把外部攻擊也局限在某一個(gè)封閉虛擬環(huán)境中。通過(guò)入侵檢測(cè),我們可以及時(shí)的發(fā)現(xiàn)并且解決網(wǎng)絡(luò)中的異常��,并且通過(guò)延遲異步方案和與虛擬化結(jié)合的的異步方案可以一定程度上提高入侵檢測(cè)在大流量網(wǎng)絡(luò)中的效率����。
